대충 보는 사람 습성 노려 피싱 공격 활개
유명 브랜드명 따라해 유사 사이트 마구 만들어
오자 하나, 접사 하나 잘 보고 URL 클릭해야
[보안뉴스 오다인 기자] 미국 시애틀은 비가 많이 내리는 곳으로 유명하다. 특히 겨울비는 끝없이 이어지는데, 이런 시애틀의 겨울비와 피싱 공격을 비교해보는 것도 재밌을 것 같다. 둘 다 언제나 높은 수준으로 발생한다는 공통점이 있기 때문이다.
먼저, 시애틀의 겨울 강우량은 그 원인을 분석하는 사람에 따라 의견이 나뉜다. 혹자는 지구 온난화나 태평양의 온도 변화를 지적하기도 한다. 즉, 시애틀에 비가 계속해서 많이 내리는 이유는 단언하기 어렵다. 그러나 피싱의 경우, 계속해서 이런 공격이 많이 발생하는 이유는 명백해 보인다. 피싱이 매우 효과적이라는 사실이 계속 입증되고 있기 때문이다.
사이버 범죄 대응을 위한 국제적 연합기구 안티피싱워킹그룹(APWG)은 지난 2월 발표한 2016 4분기 피싱 트렌드 보고서를 통해, 2016년에만 120만건 이상의 피싱 공격을 목격했다고 밝혔다. 이 수치는 2015년에 비해 65% 증가한 수준이다. 미국 연방수사국(FBI)은 2013년 이래 피싱의 한 종류에 불과한 ‘회사 이메일 계정 공격(BEC)’에 의해서만 무려 3조 원이 넘는 금전적 손실이 발생했다고 짚었다.
[이미지=iclickart]
피싱 공격자가 특정 대상을 유혹하기 위해 사용하는 장치는 여러 가지가 있지만, 유명한 브랜드를 활용하는 수법이 대표적이다. 일명 ‘사이버 점거자’들은 인터넷 도메인을 많이 사들인 다음, 유명 브랜드 사이트와 비슷하게 꾸며 고가의 제품을 좋은 가격에 살 수 있다는 등으로 유혹한다. 피해자는 별 의심 없이 이런 사이트에 들어오게 되는데 피해자가 실제로 전달받는 제품은 고가의 브랜드 제품이 아니라 멀웨어다. 이에 피싱 공격자는 신용카드 번호와 다른 민감한 정보들을 빼낼 수 있게 된다. 이런 계략이 감지되지 않도록 많은 피싱 사이트는 크리덴셜을 확보한 이후, 사용자를 원래의 브랜드 사이트로 보낸다. 즉, 피해 사용자는 자신에게 방금 나쁜 일이 일어났다는 걸 눈치도 못 채는 것이다.
소매점 피싱 연구
보안 전문업체 도메인툴즈(DomainTools)는 최근 전 세계를 대상으로 사이버 점거(Cyber Squatting) 대한 연구를 진행했다. 이 연구는 유명 브랜드들이 피싱에 얼마나 이용되고 있는지 살펴보기 위해 진행됐는데, 밝혀낸 바가 매우 흥미롭다.
도메인툴즈의 연구 방법은 간단했다. 피싱 도메인을 찾아내도록 툴을 설계한 것이다. 이 툴의 작동 방식은 다음과 같다. 1) 아마존, 애플, 나이키, 월마트 등 수없이 많은 유명 브랜드명을 입력해둔다. 2) 이런 브랜드처럼 속여 만든 새 도메인을 매일 검토한다. 도메인툴즈는 2017년 봄 5일 동안 도메인을 검토했다. 도메인툴즈의 툴은 자동으로 비슷한 여러 문자열을 만들어냈는데, 오타를 섞거나, Non-ASCII 문자처럼 보이게 하거나, ‘account’를 접두사로 붙이고 ‘online’을 접미사로 쓰는 등 접사를 활용하는 등의 방식을 썼다. 이런 기준에 들어맞는 새로운 도메인 등록에 대해 도메인툴즈는 알림을 받았다.
이런 도메인 가운데 정당한 사이트도 존재할 수 있다. 예컨대, 이름이 ‘Ani Kershaw’인 사람이 자기 이름을 도메인명으로 ‘anikershaw.com’과 같이 등록한 경우를 생각해보자. 이 도메인명에는 ‘나이키(nike)’라는 문자열이 들어가지만 ‘나이키’ 업체를 표방해 사기를 저지르려는 목적은 명백히 없다. 그래서 도메인툴즈는 알림 받은 결과들 가운데 악성 도메인만 밝혀내기 위해 추가적으로 연구했다. 블랙리스트에 오른 위험한 툴을 사용한 도메인들이 이에 포함됐다. 대표적인 블랙리스트 툴뿐만 아니라 도메인툴즈는 해당 도메인이 블랙리스트에 오른 다른 도메인들과 얼마나 긴밀하게 연결돼 있는지 검사하기 위한 알고리즘도 사용했다. 즉, 도메인툴즈의 연구에서 밝혀진 도메인들은 두 가지 차원에서 위험성을 갖고 있다. 1) 악성 도메인들은 유명 브랜드를 따라했고, 2) 이전에 악성이 입증된 도메인들과 강한 연관성을 띠고 있었다는 점이다.
숫자로 보자면
예상할 수 있듯, 브랜드가 유명할수록 의심쩍은 유사 도메인이 더 많이 나타난다. 5일의 실험 기간에 애플과 관련된 악성 도메인은 약 200건 등록됐다. 실험 주간이 평균치라고 가정하면, 애플을 가장한 악성 도메인은 연간 약 1만2천 건에 이를 것으로 추정된다. 이는 왜 큰 회사들이 자사 사이트의 변종 도메인들을 미리 죄다 등록하지 않는지 설명해준다. 등록하지 않는 게 아니라 너무 많다보니 못하는 것이다. 가능한 순열의 수는 정말 엄청나게 많다. 특히, 하나의 변종 사이트마다 ‘닷컴(.com)’, ‘닷넷(.net)’ 등 1천 개가 넘는 도메인이 만들어질 수 있다는 사실을 고려하면 그 수는 더 압도적이다.
어떤 대기업도 안전하지 않다. 애플은 친숙한 사례 중 하나일 뿐이다. 도메인툴즈는 아마존의 도메인 남용은 14건, 나이키는 10건, 월마트는 5건이었다는 사실을 발견했다. 이런 숫자들이 미미하게 느껴진다면, 지난 3월의 단 5일 동안에 나온 도메인 숫자라는 점을 기억하자.
사이버 점거자는 도메인명을 만들어내기 위해 다양한 기술을 구사한다. 가장 흔한 세 가지 기술은 다음과 같다.
1) 접사: 하나 또는 그 이상의 단서를 목표 단어의 전후에 추가한다.
(예) noreply-amazon[.]com, nikefree[.]us
2) 오자: 긴 URL 가운데 또는 작은 글자 사이에 간과하기 쉬운 오자를 삽입한다.
(예) iphone-applen[.]com
3) 모양이 같거나 거의 비슷해 보이는 글자(Homoglyphs): 비슷하게 생긴 글자를 사용한다.
(예) ƒacebook[.]com (첫 번째 글자는 알파벳 ‘F’가 아니라 ‘플로린’을 가리키는 특수문자다.)
실제 등록된 도메인명에는 브랜드명이 없지만 사용자가 보는 URL에는 브랜드명이 포함돼 나타날 수 있다는 점도 유의해야 한다. URL이 구성되는 방식 때문에 등록된 도메인명과 별도로 URL에 브랜드명을 넣어 표기할 수 있는 것이다. 충분히 발생할 수 있는 사례 하나를 예로 들어보자. ‘paypal.account.login.accountid-2058s03823-validate[.]com’이라는 URL의 실제 등록한 도메인명은 ‘accountid-2058s03823-validate[.]com’일 수 있다. 사이버 점거자가 URL이 작동하는 방식을 악용했다고 볼 수 있다. 일단 피해 사용자가 해당 도메인에 들어오고 나면, 공격자에겐 이제 DNS와 서버 구성이라는 쉬운 문제 밖에 안 남는다.
대책
이런 암울한 현실에서 나날이 요령이 느는 피싱 공격자에 대항해 조직을 어떻게 보호할 수 있을까? 여기서 우리는 피싱이 인간적인 문제이며, 해결책 또한 인간적인 어떤 것이라는 점을 기억해야 한다. 기술은 우리를 도울 순 있지만, 잡음 수준을 낮추는 데 크게 기여할 뿐이다. 특정 피싱 이메일들이 기술적인 필터를 뚫고 있다는 추정도 이제 명백해 보이는 상황이다.
1) 건강한 편집증을 갖자
우리는 공격자가 피싱 이메일로 누군가를 꾀어내려 한다는 걸 알고 있다. 그러므로 우리는 모든 링크와 첨부파일을 하나 하나 주의 깊게 다뤄야 한다. 만약 이메일이 가짜인지 진짜인지 잘 모르겠다면, 보낸 사람에게 관련 사실을 직접 물어보는 것도 한 방법이다. 꼭 그렇게 해야 하는 경우에 말이다. 또한, 의심스런 링크나 첨부파일이 보이면 IT 팀에 즉각 가져가야 한다. URL을 주의 깊게 살펴보자. 피싱 공격자는 사람들이 정신없는 틈, 서둘러 움직이는 틈을 노린다는 사실을 기억해야 한다. 링크 위에서 마우스를 움직일 때 잠시 시간을 갖고, URL을 꼼꼼히 살펴보자. 이는 우리가 위험한 사이트를 방문하는 걸 방지해줄 수 있다.
2) 직원들을 교육하자
도메인툴즈의 연구는 피싱과 관련해 직원을 교육하는 기업들이 그렇지 않은 기업보다 침해 사건 발생률이 낮다는 사실을 발견했다. 직원들이 피싱 이메일을 감지하기 위한 기술적인 요령을 익힐 필요는 없다. 다만, 그들이 피싱 공격처럼 보이는 어떤 것을 보안팀에 가져갔을 때, 그들이 제공한 것에는 보안팀이 기업을 겨냥한 공격자에 대해 더 많은 걸 알아낼 수 있는 훌륭한 범죄 과학 정보가 포함됐을 수 있다. 이는 회사 이메일 계정 공격이나 다른 스피어 피싱 이메일 작전에 특히 해당되는 말이다. 피싱 공격자가 기업이나 그 기업의 직원을 속이기 위해 상당 기간 작전을 펼쳤다는 증거가 되는 공격 종류이기 때문이다.
3) 키워드를 잘 살피자
기업은 자사 브랜드명을 따라한 유사 도메인들을 찾아내기 위해 인터넷을 지속적으로 감시하는 툴을 사용하는 것도 고려해봐야 한다. 가능한 한 최대치의 오자, 접사, 유사 모양의 글자를 방어적으로 등록해 놓는 것은 실용적인 대책이 아니다. 차선의 대책은, 가능한 한 빨리 새로운 등록 사실에 대해 파악해 해당 도메인으로의 트래픽을 막는 것이다. 자사 브랜드를 감시하는 것과 더불어 기업 생태계 전체적인 관점에서 바라보는 것도 필요하다. 예를 들어, 공급업체나 하청업체와 긴밀하게 작업하는 제조업자라면 그 업체들의 이름을 살피는 것도 포함된다. 만약 하청업체의 도메인명을 제대로 보지 않아 새 사업에 대한 계획서를 범죄자에게 보내게 된다면 세상을 바꿀지도 몰랐던 사업이 허망하게 날아가 버릴지도 모른다.
글 : 팀 헬밍(Tim Helming)
[국제부 오다인 기자(boan2@boannews.com)]
유명 브랜드명 따라해 유사 사이트 마구 만들어
오자 하나, 접사 하나 잘 보고 URL 클릭해야
[보안뉴스 오다인 기자] 미국 시애틀은 비가 많이 내리는 곳으로 유명하다. 특히 겨울비는 끝없이 이어지는데, 이런 시애틀의 겨울비와 피싱 공격을 비교해보는 것도 재밌을 것 같다. 둘 다 언제나 높은 수준으로 발생한다는 공통점이 있기 때문이다.
먼저, 시애틀의 겨울 강우량은 그 원인을 분석하는 사람에 따라 의견이 나뉜다. 혹자는 지구 온난화나 태평양의 온도 변화를 지적하기도 한다. 즉, 시애틀에 비가 계속해서 많이 내리는 이유는 단언하기 어렵다. 그러나 피싱의 경우, 계속해서 이런 공격이 많이 발생하는 이유는 명백해 보인다. 피싱이 매우 효과적이라는 사실이 계속 입증되고 있기 때문이다.
사이버 범죄 대응을 위한 국제적 연합기구 안티피싱워킹그룹(APWG)은 지난 2월 발표한 2016 4분기 피싱 트렌드 보고서를 통해, 2016년에만 120만건 이상의 피싱 공격을 목격했다고 밝혔다. 이 수치는 2015년에 비해 65% 증가한 수준이다. 미국 연방수사국(FBI)은 2013년 이래 피싱의 한 종류에 불과한 ‘회사 이메일 계정 공격(BEC)’에 의해서만 무려 3조 원이 넘는 금전적 손실이 발생했다고 짚었다.
[이미지=iclickart]
피싱 공격자가 특정 대상을 유혹하기 위해 사용하는 장치는 여러 가지가 있지만, 유명한 브랜드를 활용하는 수법이 대표적이다. 일명 ‘사이버 점거자’들은 인터넷 도메인을 많이 사들인 다음, 유명 브랜드 사이트와 비슷하게 꾸며 고가의 제품을 좋은 가격에 살 수 있다는 등으로 유혹한다. 피해자는 별 의심 없이 이런 사이트에 들어오게 되는데 피해자가 실제로 전달받는 제품은 고가의 브랜드 제품이 아니라 멀웨어다. 이에 피싱 공격자는 신용카드 번호와 다른 민감한 정보들을 빼낼 수 있게 된다. 이런 계략이 감지되지 않도록 많은 피싱 사이트는 크리덴셜을 확보한 이후, 사용자를 원래의 브랜드 사이트로 보낸다. 즉, 피해 사용자는 자신에게 방금 나쁜 일이 일어났다는 걸 눈치도 못 채는 것이다.
소매점 피싱 연구
보안 전문업체 도메인툴즈(DomainTools)는 최근 전 세계를 대상으로 사이버 점거(Cyber Squatting) 대한 연구를 진행했다. 이 연구는 유명 브랜드들이 피싱에 얼마나 이용되고 있는지 살펴보기 위해 진행됐는데, 밝혀낸 바가 매우 흥미롭다.
도메인툴즈의 연구 방법은 간단했다. 피싱 도메인을 찾아내도록 툴을 설계한 것이다. 이 툴의 작동 방식은 다음과 같다. 1) 아마존, 애플, 나이키, 월마트 등 수없이 많은 유명 브랜드명을 입력해둔다. 2) 이런 브랜드처럼 속여 만든 새 도메인을 매일 검토한다. 도메인툴즈는 2017년 봄 5일 동안 도메인을 검토했다. 도메인툴즈의 툴은 자동으로 비슷한 여러 문자열을 만들어냈는데, 오타를 섞거나, Non-ASCII 문자처럼 보이게 하거나, ‘account’를 접두사로 붙이고 ‘online’을 접미사로 쓰는 등 접사를 활용하는 등의 방식을 썼다. 이런 기준에 들어맞는 새로운 도메인 등록에 대해 도메인툴즈는 알림을 받았다.
이런 도메인 가운데 정당한 사이트도 존재할 수 있다. 예컨대, 이름이 ‘Ani Kershaw’인 사람이 자기 이름을 도메인명으로 ‘anikershaw.com’과 같이 등록한 경우를 생각해보자. 이 도메인명에는 ‘나이키(nike)’라는 문자열이 들어가지만 ‘나이키’ 업체를 표방해 사기를 저지르려는 목적은 명백히 없다. 그래서 도메인툴즈는 알림 받은 결과들 가운데 악성 도메인만 밝혀내기 위해 추가적으로 연구했다. 블랙리스트에 오른 위험한 툴을 사용한 도메인들이 이에 포함됐다. 대표적인 블랙리스트 툴뿐만 아니라 도메인툴즈는 해당 도메인이 블랙리스트에 오른 다른 도메인들과 얼마나 긴밀하게 연결돼 있는지 검사하기 위한 알고리즘도 사용했다. 즉, 도메인툴즈의 연구에서 밝혀진 도메인들은 두 가지 차원에서 위험성을 갖고 있다. 1) 악성 도메인들은 유명 브랜드를 따라했고, 2) 이전에 악성이 입증된 도메인들과 강한 연관성을 띠고 있었다는 점이다.
숫자로 보자면
예상할 수 있듯, 브랜드가 유명할수록 의심쩍은 유사 도메인이 더 많이 나타난다. 5일의 실험 기간에 애플과 관련된 악성 도메인은 약 200건 등록됐다. 실험 주간이 평균치라고 가정하면, 애플을 가장한 악성 도메인은 연간 약 1만2천 건에 이를 것으로 추정된다. 이는 왜 큰 회사들이 자사 사이트의 변종 도메인들을 미리 죄다 등록하지 않는지 설명해준다. 등록하지 않는 게 아니라 너무 많다보니 못하는 것이다. 가능한 순열의 수는 정말 엄청나게 많다. 특히, 하나의 변종 사이트마다 ‘닷컴(.com)’, ‘닷넷(.net)’ 등 1천 개가 넘는 도메인이 만들어질 수 있다는 사실을 고려하면 그 수는 더 압도적이다.
어떤 대기업도 안전하지 않다. 애플은 친숙한 사례 중 하나일 뿐이다. 도메인툴즈는 아마존의 도메인 남용은 14건, 나이키는 10건, 월마트는 5건이었다는 사실을 발견했다. 이런 숫자들이 미미하게 느껴진다면, 지난 3월의 단 5일 동안에 나온 도메인 숫자라는 점을 기억하자.
사이버 점거자는 도메인명을 만들어내기 위해 다양한 기술을 구사한다. 가장 흔한 세 가지 기술은 다음과 같다.
1) 접사: 하나 또는 그 이상의 단서를 목표 단어의 전후에 추가한다.
(예) noreply-amazon[.]com, nikefree[.]us
2) 오자: 긴 URL 가운데 또는 작은 글자 사이에 간과하기 쉬운 오자를 삽입한다.
(예) iphone-applen[.]com
3) 모양이 같거나 거의 비슷해 보이는 글자(Homoglyphs): 비슷하게 생긴 글자를 사용한다.
(예) ƒacebook[.]com (첫 번째 글자는 알파벳 ‘F’가 아니라 ‘플로린’을 가리키는 특수문자다.)
실제 등록된 도메인명에는 브랜드명이 없지만 사용자가 보는 URL에는 브랜드명이 포함돼 나타날 수 있다는 점도 유의해야 한다. URL이 구성되는 방식 때문에 등록된 도메인명과 별도로 URL에 브랜드명을 넣어 표기할 수 있는 것이다. 충분히 발생할 수 있는 사례 하나를 예로 들어보자. ‘paypal.account.login.accountid-2058s03823-validate[.]com’이라는 URL의 실제 등록한 도메인명은 ‘accountid-2058s03823-validate[.]com’일 수 있다. 사이버 점거자가 URL이 작동하는 방식을 악용했다고 볼 수 있다. 일단 피해 사용자가 해당 도메인에 들어오고 나면, 공격자에겐 이제 DNS와 서버 구성이라는 쉬운 문제 밖에 안 남는다.
대책
이런 암울한 현실에서 나날이 요령이 느는 피싱 공격자에 대항해 조직을 어떻게 보호할 수 있을까? 여기서 우리는 피싱이 인간적인 문제이며, 해결책 또한 인간적인 어떤 것이라는 점을 기억해야 한다. 기술은 우리를 도울 순 있지만, 잡음 수준을 낮추는 데 크게 기여할 뿐이다. 특정 피싱 이메일들이 기술적인 필터를 뚫고 있다는 추정도 이제 명백해 보이는 상황이다.
1) 건강한 편집증을 갖자
우리는 공격자가 피싱 이메일로 누군가를 꾀어내려 한다는 걸 알고 있다. 그러므로 우리는 모든 링크와 첨부파일을 하나 하나 주의 깊게 다뤄야 한다. 만약 이메일이 가짜인지 진짜인지 잘 모르겠다면, 보낸 사람에게 관련 사실을 직접 물어보는 것도 한 방법이다. 꼭 그렇게 해야 하는 경우에 말이다. 또한, 의심스런 링크나 첨부파일이 보이면 IT 팀에 즉각 가져가야 한다. URL을 주의 깊게 살펴보자. 피싱 공격자는 사람들이 정신없는 틈, 서둘러 움직이는 틈을 노린다는 사실을 기억해야 한다. 링크 위에서 마우스를 움직일 때 잠시 시간을 갖고, URL을 꼼꼼히 살펴보자. 이는 우리가 위험한 사이트를 방문하는 걸 방지해줄 수 있다.
2) 직원들을 교육하자
도메인툴즈의 연구는 피싱과 관련해 직원을 교육하는 기업들이 그렇지 않은 기업보다 침해 사건 발생률이 낮다는 사실을 발견했다. 직원들이 피싱 이메일을 감지하기 위한 기술적인 요령을 익힐 필요는 없다. 다만, 그들이 피싱 공격처럼 보이는 어떤 것을 보안팀에 가져갔을 때, 그들이 제공한 것에는 보안팀이 기업을 겨냥한 공격자에 대해 더 많은 걸 알아낼 수 있는 훌륭한 범죄 과학 정보가 포함됐을 수 있다. 이는 회사 이메일 계정 공격이나 다른 스피어 피싱 이메일 작전에 특히 해당되는 말이다. 피싱 공격자가 기업이나 그 기업의 직원을 속이기 위해 상당 기간 작전을 펼쳤다는 증거가 되는 공격 종류이기 때문이다.
3) 키워드를 잘 살피자
기업은 자사 브랜드명을 따라한 유사 도메인들을 찾아내기 위해 인터넷을 지속적으로 감시하는 툴을 사용하는 것도 고려해봐야 한다. 가능한 한 최대치의 오자, 접사, 유사 모양의 글자를 방어적으로 등록해 놓는 것은 실용적인 대책이 아니다. 차선의 대책은, 가능한 한 빨리 새로운 등록 사실에 대해 파악해 해당 도메인으로의 트래픽을 막는 것이다. 자사 브랜드를 감시하는 것과 더불어 기업 생태계 전체적인 관점에서 바라보는 것도 필요하다. 예를 들어, 공급업체나 하청업체와 긴밀하게 작업하는 제조업자라면 그 업체들의 이름을 살피는 것도 포함된다. 만약 하청업체의 도메인명을 제대로 보지 않아 새 사업에 대한 계획서를 범죄자에게 보내게 된다면 세상을 바꿀지도 몰랐던 사업이 허망하게 날아가 버릴지도 모른다.
글 : 팀 헬밍(Tim Helming)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
